Configurer Microsoft Defender pour point de terminaison pour diffuser en continu les événements de repérage avancé vers votre compte de stockage

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison

Remarque

Pour obtenir l’expérience de streaming de données complète disponible, visitez Stream Microsoft Defender XDR événements | Microsoft Learn.

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Avant de commencer

1. Create un compte de stockage dans votre locataire.

2. Connectez-vous à votre locataire Azure, accédez à Abonnements > Vos fournisseurs de ressources > d’abonnement > Inscrivez-vous à Microsoft.insights.

Activer la diffusion en continu de données brutes

1. Connectez-vous au portail Microsoft Defender en tant qu’administrateur général ou administrateur de la sécurité.

2. Accédez à la page Paramètres d’exportation de données dans Microsoft Defender XDR.

3. Sélectionnez Ajouter des paramètres d’exportation de données.

4. Choisissez un nom pour vos nouveaux paramètres.

5. Choisissez Transférer des événements vers stockage Azure.

6. Tapez votre ID de ressource de compte de stockage. Pour obtenir votre ID de ressource de compte de stockage, accédez à la page de votre compte de stockage sous Portail Azure> onglet > Propriétés copiez le texte sous ID de ressource du compte de stockage :

   

7. Choisissez les événements que vous souhaitez diffuser en continu, puis sélectionnez Enregistrer.

Schéma des événements dans le compte de stockage

• Un conteneur d’objets blob est créé pour chaque type d’événement :

  

• Le schéma de chaque ligne d’un objet blob est le code JSON suivant :

  {
    "time": "<The time WDATP received the event>"
    "tenantId": "<Your tenant ID>"
    "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
    "properties": { <WDATP Advanced Hunting event as Json> }
  }
  

• Chaque objet blob contient plusieurs lignes.

• Chaque ligne contient le nom de l’événement, l’heure à laquelle Defender pour point de terminaison a reçu l’événement, le locataire auquel il appartient (vous obtenez les événements de votre locataire uniquement) et l’événement au format JSON dans une propriété appelée « properties ».

• Pour plus d’informations sur le schéma des événements Microsoft Defender pour point de terminaison, consultez Vue d’ensemble de la chasse avancée.

• Dans Repérage avancé, la table DeviceInfo comporte une colonne nommée MachineGroup qui contient le groupe de l’appareil. Ici, chaque événement est également décoré avec cette colonne. Pour plus d’informations, consultez Groupes d’appareil.

  Remarque

  La création de groupes d’appareils est prise en charge dans Defender pour point de terminaison Plan 1 et Plan 2.

Mappage des types de données

Pour obtenir les types de données de nos propriétés d’événements, procédez comme suit :

1. Connectez-vous à Microsoft Defender XDR et accédez à la page Repérage avancé.

2. Exécutez la requête suivante pour obtenir le mappage des types de données pour chaque événement :

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Voici un exemple pour l’événement Device Info :

  

Articles connexes

• Stream Microsoft Defender XDR événements | Microsoft Learn

• Vue d’ensemble de la chasse avancée

• API de streaming Microsoft Defender pour point de terminaison

• Stream Microsoft Defender pour point de terminaison des événements à votre compte de stockage Azure

• Documentation sur le compte de stockage Azure

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.